多くの人が送られた経験のあるフィッシングSMS(スミッシング)。
フィッシングの件数が大きく増加傾向にあることから、フィッシングSMSも同様に大きく増加していると考えられます。
また、フィッシングSMS詐欺を経由するとワンタイムパスワードも盗まれて、これまで防げていた不正アクセス対策では防げないケースが出てきています。
そこで本記事では、フィッシングSMSについて以下を中心に解説します。
- フィッシングSMS詐欺により想定される事業者への被害
- フィッシングSMS詐欺の最新事例とその対策
- 事業者ができるフィッシングSMSを経由した不正アクセスの対策
フィッシングSMS(スミッシング)による被害を防ぐことに興味のある方は、ぜひ最後までご一読下さい。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
目次
フィッシングSMS(スミッシング)とは
フィッシングSMS(スミッシング)とは、SMSを用いたフィッシング詐欺の手口の1つです。
不正者はユーザーの携帯電話番号宛に、特定のサービスや公的機関をかたったSMSを送信します。
SMSに記載された偽のサイトへ誘導することで、ユーザーの個人情報やクレジットカード情報を盗み取ろうと試みます。
金銭的な被害があるだけでなく、盗まれた個人情報が他の詐欺事件に転用されるなど、その被害は大きくなります。
フィッシング詐欺についてご興味のある方は、ぜひこちらの記事をご覧ください。
フィッシングSMS(スミッシング)の手口
フィッシングSMSの手口は、3つのステップに分けることができ、非常に単純だといえます。
- 特定の事業者を騙ってSMSを送付する
- SMSに記載された偽のサイトに誘導し個人情報を盗み取る
- 盗み出した個人報を悪用する
その手口自体は単純なものの、一方で近年では、偽サイトがより精巧なものに変化して見分けが付きづらくなっており、被害は絶えません。
フィッシングSMSの最新の手口
フィッシングSMSの危険性が認識され事業者側の対策が進んだ一方で、個人情報を盗み取る手口が巧妙になってきており、二要素認証を突破するケースも存在します。
この手口では、ユーザーのワンタイムパスワードの入力までも、偽サイト上で完結することにより、不正ログインを可能にしています。
つまり、二要素認証の導入など、ログイン認証を強化した場合であっても、不正者に突破されてしまいます。
しかし、「不正検知システム」では、この最新の手口を防ぐことができます。
\期間限定トライアル受付中/
O-MOTIONの詳細を見る
▲無料の資料請求はこちら
また、盗まれた個人情報は転売されるだけでなく、他の詐欺でも利用されることもあり、フィッシングSMSが個人に与える被害は非常に大きいです。
さて、ここからは、フィッシングSMS(スミッシング)が事業者に与える被害についてご紹介します。
フィッシングSMSにより想定される事業者への4つの被害
フィッシングSMSはユーザーだけでなく、名前を利用される事業者にも大きな被害を与えます。
ここでは以下の4つの被害に分けてご説明します。
- サービスへの不正ログインが行われる
- サービス利用者の個人情報漏洩が起こる
- 被害に遭ったサービス利用者への対応が必要になる
- サービスへの信頼が毀損される
それぞれ詳しく見ていきましょう。
被害1. サービスへの不正ログインが行われる
まず一つ目の被害として、サービス利用者の認証情報が漏洩することによるサービスへの不正ログインが挙げられます。
サービス利用者はフィッシングSMS(スミッシング)で誘導された偽サイトにて、そのサービスで使用している認証情報(IDやパスワード)を入力します。
そこで盗み取られた認証情報を用いてサービスへの不正ログインが行われます。
被害2. サービス利用ユーザーの個人情報漏えいが起こる
二つ目の被害として、サービスへの不正ログインが行われることによるサービス利用者の個人情報漏えいが挙げられます。
サービスのマイページから個人情報を閲覧できるケースが多く、以下のようなユーザーの個人情報が漏えいする危険があります。
- 氏名
- メールアドレス
- 電話番号
- 住所
- 注文内容
サービス利用者の個人情報漏えいは、サービス利用者全体の信頼に影響を及ぼすため、非常に大きな被害につながります。
被害3. 被害に遭ったサービス利用者への対応が必要になる
三つ目の被害として、フィッシングSMSの被害に遭ったサービス利用者への対応が必要になることが挙げられます。
ECサイトなどの購入を伴うサービスの場合、少なくとも以下のような対応が必要になります。
- ユーザー情報の確認
- クレジットカードの不正利用が行われていないかの確認
- クレジットカードの不正利用が行われていた場合の注文取り消し
このように本来必要でない業務が増えるだけでなく、不正利用が商品の発送後に発覚した場合は、チャージバックなどの金銭的な被害が発生する可能性もあります。
チャージバックについて興味のある方はこちらの記事をご覧ください。
被害4. サービスへの信頼が毀損される
四つ目の被害として、サービスへの信頼が毀損されることが挙げられます。
長い時間をかけて醸成してきたユーザーとの信頼が、サービスへの不正ログインや、それに伴う個人情報の漏洩などが発生することで失われる可能性があります。
だからこそ、フィッシングSMSの被害に遭わないために、最新の手口とその対策を知ることが重要になります。
さて、ここからはフィッシングSMSの対策について説明します。
事業者が取りうるフィッシングSMSへの3つの対策
まず、フィッシングSMSの手口として、以下の手順があると整理できます。
- 特定の事業者を騙ってSMSを送付する
- SMSに記載された偽のサイトに誘導し個人情報を盗み取る
- 盗み出した個人情報を悪用する
つまり、フィッシングSMSへの対策は、それぞれの手順に対応する形で以下が挙げられます。
- Web上での注意喚起をする
- ログイン認証を強化する
- 不正検知システムを導入する
それぞれ詳しく見ていきましょう。
対策1. Web上での注意喚起をする
まず一つ目の対策として、自社HPやSNS、会員ページ上でのフィッシングSMSについての注意喚起をすることが挙げられます。
より多くの人に「フィッシングSMS」の存在について事前に伝えることで、ユーザーはSMSの送付を受けた時点でフィッシングSMSだと気づくことができます。
また、「メールやSMS上で会員情報の確認を行うことはない」など、フィッシングSMSを受信したユーザーが情報の真偽を確認することができる状態が、被害を防ぐ上で非常に重要です。
対策2. ログイン認証を強化する
二つ目の対策としてログイン認証を強化することが挙げられます。
つまり、従来のID/パスワードのみの認証から、携帯電話番号などを用いた二要素認証の導入などログイン認証を強化することです。
ユーザーがフィッシングSMSの被害に遭い、ログイン情報が流出した場合でも、ログイン認証が強固であれば不正ログインや、個人情報の漏洩を一定以上防ぐことができます。
対策3. 不正検知システムを導入する
三つ目の対策として、不正検知システムを導入することが挙げられます。
不正検知システムでは、前述したようなフィッシングSMSの最新の手口であっても不正者のログインを防ぐことができます。
不正検知システムでは、認証の際に、IDやパスワードなどの認証情報やワンタイムパスワードの正誤だけでなく、行動データや幅広い蓄積された情報を活用しているためです。
また、不正検知システムはこのようなシーン以外にも、他のサイトでユーザーの個人情報が漏洩した際のリスト攻撃が発生したようなシーンでも効果を発揮します。
不正検知システムについて興味のある方は、是非以下をご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
まとめ:フィッシングSMS(スミッシング)は不正検知システムで対策できる。
この記事では、近年増加傾向にあるフィッシングSMS(スミッシング)を防ぐ方法についてご紹介しました。
本記事の内容は以下のようにまとめることができます。
- フィッシングSMSの基本的な対策として注意喚起とログイン認証の強化がある
- 最新の手法としてログイン認証を突破するケースも存在する
- 不正検知システムはさまざまな情報をもとに認証の判断を行うため、最新の手法であっても防ぐことができる。
フィッシングSMS(スミッシング)では、事業者において金銭的な被害以上に、ユーザーからの信頼といった目に見えない被害が起こり得ます。
当サイトを運営するかっこ株式会社は、不正検知システム「O-MOTION」を提供しています。「O-MOTION」は、幅広いデータをもとに、不正取引や不正行為を検知できるシステムです。
興味のある方は、是非以下をご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
